Sysmon 日志监控

news2024/11/23 4:14:14

系统监视器 (Sysmon) 是一个 Windows 日志记录加载项,它提供精细的日志记录功能并捕获默认情况下通常不记录的安全事件。它提供有关进程创建、网络连接、文件系统更改等的信息。分析 Sysmon 日志对于发现恶意活动和安全威胁至关重要。

在不断变化的网络安全环境中,提前防范威胁非常重要。Sysmon 日志在这项工作中发挥着至关重要的作用,它提供了有价值的见解,并使组织能够加强其安全态势。

Windows 是企业环境中的主要操作系统,全面了解 Windows 事件日志、其独特特征和局限性以及通过 Sysmon 进行增强的潜力至关重要。

什么是 Sysmon 日志

Sysmon 日志是由 Microsoft 系统监视器(Sysmon)生成的事件日志,它们提供有关 Windows 上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI 操作等活动,通过分析 Sysmon 日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。

Sysmon 日志存储在哪里

Sysmon 日志存储在 Windows 事件日志中。具体而言,它们位于 Microsoft-Windows-Sysmon/Operational 事件日志通道中。

要获取 Sysmon 日志,请执行以下操作:

  • 打开事件查看器在 Windows 系统上。
  • 打开应用程序和服务日志。
  • 找到 Microsoft-Windows-Sysmon/操作记录并查看 Sysmon 日志。

Sysmon 记录的关键事件

  • 流程创建
  • 进程更改了文件创建时间
  • 网络连接
  • Sysmon 服务状态已更改
  • 驱动程序已加载
  • 文件创建和修改
  • WMI 活动

流程创建

Sysmon 日志中的进程创建(由事件 ID 1 表示)提供了有关在 Windows 系统上创建进程的宝贵见解,这些日志提供关键详细信息,例如进程 ID、父进程 ID、映像名称、命令行参数、创建选项、文件哈希、数字签名、父进程信息和网络连接,Sysmon 的配置选项支持自定义记录的信息,以符合特定要求。

进程更改了文件创建时间

Sysmon 日志中的事件 ID 2 表示进程更改了文件的创建时间,此事件提供对进程更改与文件关联的元数据(特别是创建时间戳)的实例的见解,修改时间创建时间可能是授权用户出于合法目的而执行的故意操作,但是,它也可能表明存在可疑活动或潜在的安全漏洞。

网络连接

Sysmon 日志中的事件 ID 3 表示网络连接事件,它提供基本信息,例如启动连接的程序的进程 ID(PID)、本地端点的源 IP 和端口、远程端点的目标 IP 和端口以及使用的协议,分析网络连接有助于监视网络流量、识别可疑连接、跟踪应用程序行为以及调查安全事件,请记住,Sysmon 日志的结构和字段可能因 Sysmon 版本和配置设置而异。

Sysmon 服务状态已更改

状态更改事件(由事件 ID 4 表示)可以指示 Sysmon 服务的成功启动或停止,服务的启动表示 Sysmon 服务已启动,现在正在监视和记录系统活动,当管理员手动停止服务或服务本身存在问题时,将停止服务。

驱动程序已加载

安装驱动程序后,它将成为操作系统内核的组成部分,允许它与硬件设备通信并执行低级任务,驱动程序加载事件(由事件 ID 6 表示)记录有关负责加载驱动程序的过程的详细信息以及有关驱动程序文件本身的信息。

文件创建和修改

每当在系统中添加、更改或删除文件时,Sysmon 都会记录事件,事件 ID 11 包含有关文件路径、创建或修改文件的操作以及文件哈希的详细信息。这有助于检测未经授权的文件修改或可疑行为。

WMI 活动

Windows 的 WMI 管理体系结构使开发人员和管理员能够远程查看和修改系统数据、配置设置和执行指令,Sysmon 日志包含事件 ID 为 19 (WmiEventFilter) 和 20 (WmiEventConsumer) 的条目,它们分别收集有关 WMI 事件筛选和事件使用的信息。

了解 Sysmon 日志管理的生命周期

收集和分析 Sysmon 日志的过程涉及几个关键步骤。

  • 部署:在 Windows 系统上部署 Sysmon 以开始捕获事件信息,可以使用自动部署技术(如组策略或脚本)进行批量安装,也可以从 Microsoft 网站下载 Sysmon 软件并将其单独安装在每台计算机上。
  • 配置:配置 Sysmon 以指定要监视的所需事件和日志记录目标,配置文件指定要监视和记录的事件,可用于设置 Sysmon,可以根据需要激活或删除特定事件类型来调整配置文件以满足独特需求。
  • 日志收集:Sysmon 日志通常以 XML 格式发布到 Windows 事件日志,若要收集 Sysmon 日志,可以使用各种方法,例如 Windows 事件转发 (WEF)、集中式日志记录解决方案或 SIEM 解决方案,使用这些技术,可以将来自多个系统的日志合并到一个地方以供进一步分析。
  • 日志存储和保留:请务必建立适当的日志存储和保留策略,以确保有足够的容量来存储日志并将其保留足够的时间,根据组织的需求和合规性要求,可以选择将日志本地存储在每个系统上,也可以集中存储在日志管理系统中。
  • 日志分析:使用手动技术和自动化工具分析收集的 Sysmon 日志,Sysmon 日志包含各种类型的事件,包括进程创建、网络连接、文件创建或修改、注册表修改等,用于识别可疑活动、入侵指标并了解系统行为。
  • 威胁搜寻:Sysmon 日志可以成为主动威胁搜寻的非常有用的工具,在 SIEM 或日志管理系统中创建查询或规则,以查找异常活动或已识别攻击模式的指标。使用这种方法,可以发现并不总是显而易见的安全漏洞或可能的风险。
  • 事件响应和取证:在事件响应和取证调查期间利用分析的 Sysmon 日志来重建时间线、跟踪攻击者操作并确定安全事件的影响。

在这里插入图片描述

Sysmon日志的监控和检查

EventLog Analyzer日志管理和SIEM解决方案,通过提供集中收集、分析和报告功能来增强Sysmon日志监控,它充当一个统一的平台,用于收集、分析、存档和报告 Windows 系统生成的 Sysmon 日志。

  • 跟踪各种流程,提供详细的见解。
  • 有效发现日志中的攻击趋势。
  • 保留日志数据以备将来进行取证调查。
  • 通过组合来自多个来源(包括事件日志文件和 Sysmon 收集器)的 Sysmon 日志,全面了解系统操作。
  • 主动监视和捕获对注册表项和值的更改。

Sysmon日志分析

  • 监控进程创建以发现可疑安装
  • 发现、调查和阻止恶意软件
  • 检测权限升级以阻止未经授权的数据访问
  • 监控文件以确保其完整性
  • 审核网络设备和资源
  • 审核注册表和配置更改

监控进程创建以发现可疑安装

跟踪各种进程,包括当前正在运行的进程以及已终止的进程。除了进程名称之外,还可以查看有关进程的其他信息,例如进程 ID、父进程名称和进程命令行,通过将此信息与威胁源相关联,可以发现恶意软件安装或恶意软件攻击。

发现、调查和阻止恶意软件

检测和调查恶意软件采用的各种技术,例如,恶意软件通常会修改文件创建时间戳以掩盖其踪迹。使用EventLog Analyzer的文件审计报表,可以实时分析文件修改。恶意软件使用的另一种常见技术包括使用命名管道进行进程间通信,进程审计报表可以监控创建或连接管道时生成的Sysmon事件日志。

检测权限升级以阻止未经授权的数据访问

通过将EventLog Analyzer与MITRE ATT&CK框架集成,可以分析Sysmon日志以发现权限升级攻击等恶意活动。例如,通过监视进程创建,可以检测试图绕过用户访问控制机制以提升系统中进程权限的攻击者。

监控文件以确保其完整性

可以监控文件和流创建操作,创建或覆盖文件时,将记录文件创建操作。还可以使用“原始访问读取”报告监视在驱动器上执行的读取操作,这可以防止对这些文件的数据外泄攻击。使用 EventLog Analyzer 的文件流创建报表,可以监控文件流的创建时间,并跟踪某些恶意软件,这些恶意软件通过浏览器下载删除其可执行文件或配置设置。

审核网络设备和资源

借助EventLog Analyzer深入的Sysmon日志分析功能,可以监控网络连接并查看每个连接的进程ID、源IP地址、源端口和目标端口等,还可以分析进程执行 DNS 查询时生成的日志,无论其结果如何(成功、失败或缓存)。

审核注册表和配置更改

有时,攻击者通过修改注册表来启动恶意应用程序来发起攻击,使用EventLog Analyzer,可以监控更改,例如对注册表项和注册表值的修改。

还可以使用“服务状态更改”报告监视 Sysmon 服务的状态,该报告将告诉您服务是否已启动或停止运行及其版本号。

EventLog Analyzer 日志管理解决方案,可以集中收集和监控来自所有 Windows 和 Linux 设备的 Sysmon 日志,以确保端点安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1187453.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

浅谈智能变电站自动化系统的应用与产品选型

安科瑞电气股份有限公司 上海嘉定 201801 摘要:现如今,智能变电站发展已经成为了电力系统发展过程中的内容,如何提高智能变电站的运行效率也成为电力系统发展的一个重要目标,为了能够更好地促进电力系统安全稳定运行,…

单片机程序无法下载?

原因一:电源问题 电源可能是导致STM32微控制器无法下载程序的一个常见原因。确保电源稳定对于正常运行和下载程序至关重要。以下是一些电源问题: 1. 电源电压不足:如果STM32微控制器没有足够的电压供应,它可能无法正常工作或下载程…

【AICFD案例教程】电子机箱风冷散热分析

AICFD是由天洑软件自主研发的通用智能热流体仿真软件,用于高效解决能源动力、船舶海洋、电子设备和车辆运载等领域复杂的流动和传热问题。软件涵盖了从建模、仿真到结果处理完整仿真分析流程,帮助工业企业建立设计、仿真和优化相结合的一体化流程&#x…

关于脑机接口实现的思考——再谈埃隆马斯克的脑机接口新动态

今天看到了埃隆马斯克的Neuralink的新动态,要招募志愿者进行试验,因此基于此前的文章,这里做一个新的探讨,第一篇文章在下面的链接,大家可以先过去看一下: 关于脑机接口该如何实现的考虑 埃隆马斯克的Neura…

评估APP网页小程序代码UI开发H5估价师怎么评估开发精确研发价格?

作为一名应用程序开发评估师,可能涉及到的主要任务是为特定的应用程序提供估算开发成本和所需时间预测。为了为一个应用程序更准确地评估价格,须遵循以下几个步骤: 问: 如何让一个App更好、更精确地评估出价格? 答: 以下是一个可…

MOSFET和IGBT栅极驱动器TLP250H(D4-TP1,F)电路的基本原理

TLP250H,TLP250H(D4-TP1,F)是SOP8封装中的光电耦合器,由GaA组成ℓ作为红外发光二极管(LED)光学耦合到集成的高增益、高速光电探测器IC芯片。它在高达125℃的温度下提供有保证的性能和规格. TLP250H具有内部法拉第屏蔽,…

浏览器插件实现国税网自动登录,以及解决浏览器记住密码会自动填充表单无法修改的问题

公司的做账系统,用户在系统里设置保存了国税网的账号密码以后,下次点击进入国税网,能够直接进入国税系统。 之前的解决方案是pupptteer模拟登录一遍拿到cookie等登录凭证后,保存到数据库,然后插件请求接口拿到cookie&…

柴油发电机负载测试的方法

柴油发电机负载测试是检查发电机组性能的重要环节,通过模拟实际工作负载,检测发电机组在不同负载下的运行情况,以确保其安全可靠地为用电设备提供电力。以下是柴油发电机负载测试的方法: 1. 准备工作:在进行负载测试之…

黔院长 | 黄帝内经:脏气法时论!

自然界有四季,四季更替影响万物的轮回。人体脏腑功能和气机运行与时间变化也有显著的影响。古人结合五脏之气,取四时五行的生克规律作为救治疾病的法则,对至今中医养生有重要参考作用! 五行,即木、火、土、金、水&…

C#Web文件上传的几种方式

1.第一种上传方式,基本通用于.net所有的框架 [HttpPost][Route("Common/uploadFile1")]public string uploads(){HttpContextBase context (HttpContextBase)Request.Properties["MS_HttpContext"];//获取传统contextHttpRequestBase request context.Re…

springbootMysql文华学院青年志愿者服务预约系统97973-计算机毕业设计项目选题推荐(附源码)

摘 要 随着社会的发展,社会的各行各业都在利用信息化时代的优势。计算机的优势和普及使得各种信息系统的开发成为必需。 文华学院青年志愿者服务预约系统,主要的模块包括管理员:后台首页、轮播图、通知公告管理、资源管理(新闻资…

人工智能-卷积神经网络(LeNet)

为了能够应用softmax回归和多层感知机,我们首先将每个大小为\(28\times28\)的图像展平为一个784维的固定长度的一维向量,然后用全连接层对其进行处理。 而现在,我们已经掌握了卷积层的处理方法,我们可以在图像中保留空间结构。 同…

数据分析:小红书新兴场景洞察,捕捉消费新势力

导语 飞盘、骑行,露营…如今,户外运动日渐被人们所喜爱。近年来,继飞盘和骑行后,一项新潮的户外运动越来越受到年轻人的欢迎,路亚钓鱼,越来越多年轻人在入坑钓鱼。 图 | 小红书 图 | 小红书 什么是“路亚…

11.(vue3.x+vite)组件间通信方式之ref与$parent、$children

前端技术社区总目录(订阅之前请先查看该博客) 示例效果 注: (1)ref 加在标签(div等)上,是拿到dom 对象 (2)ref加上组件上,拿到的是组件的引用 (3)让父组件获取子组件的数据或者方法需要通过defineExpose对外暴露,另外让父组件获取子组件的数据或者方法需要通过d…

查看监控提示码流已加密,请切换至本地配置页面设置密钥后重启预览

环境: 硬盘录像机DS-8632N-I16 谷歌浏览器 问题描述: 查看监控提示码流已加密,请切换至本地配置页面设置密钥后重启预览 解决方案: 1.进入系统-安全管理-安全服务,关闭启用码流加密,保存 2.进入网络-高级配置-平…

AI:73-结合语法知识的神经机器翻译研究

🚀 本文选自专栏:AI领域专栏 从基础到实践,深入了解算法、案例和最新趋势。无论你是初学者还是经验丰富的数据科学家,通过案例和项目实践,掌握核心概念和实用技能。每篇案例都包含代码实例,详细讲解供大家学习。 📌📌📌在这个漫长的过程,中途遇到了不少问题,但是…

Docker - 安装

Docker安装 Docker的基本组成 镜像(image): ​ Docker镜像就好比是一个模板,可以通过这个模板来创建容器服务,tomcat镜像 -> run -> tomcat01容器(提供服务器),通过这个镜像可以创建多个…

【VUE+ elementUI 实现动态表头渲染】

VUE elementUI 实现动态表头渲染 1、定义 columns(表头数据) 和 dataList(表格数据) data() {return {loading: false,dataList: [{ name: 张三, sex: 男, age: 18 },{ name: 林琳, sex: 女, age: 20 },{ name: 王五, sex: 男, …

安卓开发实例:高德地图

想要在app里面显示高德地图,遇到了很多问题,开始想显示百度地图的,个人感觉不喜欢百度地图,跟高德地图有缘,所以就弄个高德地图。 当然你可以直接看开发文档啊,慢走不送,谢谢。 https://lbs.ama…

记一次前后端分离项目跨域导致的set-cookie失效问题解决方案

起因公司项目使用了springsecurity的基础登录进行认证授权,而基础登录使用的是sessioncookie的形式,项目前后端分离,前端调接口的时候就会出现,登陆后点击其他页面,提示未登录跳转登录页的情况,排查了一下问…